¿Qué topología de red se debe utilizar en un entorno SOHO con un servidor web disponible públicamente?

Navega tus respuestas
2

La configuración de mi oficina doméstica actualmente tiene un enrutador inalámbrico que ejecuta DD-WRT NXT conectado a un módem por cable. Conectado a este enrutador hay una serie de estaciones de trabajo con las que no tengo que lidiar. Supongo que todas están infectadas con virus, malware y kits de raíz, una estación de trabajo que hago todo lo posible por mantener segura y un NAS que también hago. mejor para mantenerte seguro.

En este momento, creo que las principales amenazas son la basura en las estaciones de trabajo de otras personas y alguien en el exterior atacando el enrutador. No me preocupa que usuarios malintencionados ataquen desde la intranet.

Me gustaría agregar un servidor web a la red, pero no sé cómo diseñar mejor la red para minimizar los riesgos adicionales. Si bien el plan ahora mismo es alojar solo páginas web estáticas, apuesto a que en el futuro se ejecutará WordPress si demuestro que puedo mantener un servidor web en funcionamiento. Si bien sería bueno alojar los archivos para el servidor web en el NAS, estoy dispuesto a alojarlos directamente en el servidor si esto mejora la seguridad.

Estaba pensando en simplemente agregar el servidor web a la red y reenviar los puertos apropiados desde el enrutador. ¿Poner el servidor web en una subred separada proporciona alguna seguridad adicional? ¿Qué pasa con la adición de un segundo enrutador entre el servidor web y la red principal (es decir, el cable módem está conectado al enrutador A que está conectado al servidor web y al enrutador B que está conectado al NAS y las estaciones de trabajo)?

    
pregunta StrongBad 17.08.2016 - 17:27
fuente

1 respuesta

1

Hay dos aspectos que debes considerar:

  • El servidor web será accesible desde internet. Esa es una superficie de ataque bastante grande en comparación con todos los demás hosts internos.
  • Su red interna puede ser tan peligrosa como Internet, el servidor web también debería tratarla como hostil.

Puedes abordar ambos aspectos con una configuración simple como esta: 

                   .--.               
               _ -(    )- _           
          .--,(            ),--.      
      _.-(                       )-._ 
     (           INTERNET            )
      '-._(                     )_.-' 
        |  '__,(            ),__'     
        |       - ._(__)_. -          
                     \           \
        |             \            
                       \           \
        |               \
        |           _____\____       \
  Only port 80     [_.Router.°]        
        |           /        \         \
        |          /          \        No incoming traffic
                  /            \         \
        |        /              \          
        |       /                \         \
        v      /                  \         v
     .Public network----.         .Private network.
     |  ________        |         |  ____   __    |
     | |==|=====|       |         | |    | |==|   |
     | |  |     |       |         | |____| |  |   |
     | |  |     |       |         | /::::/ |__|   |
     | |  |     |       |         |               |
     | |  |     |       |<- - - - |               |
     | |  |====°|       |         '---------------'
     | |__|_____|       |  Pt 80 only
     '------------------'

Las líneas de puntos representan conexiones lógicas y las líneas completas son conexiones físicas.

Usted acaba de configurar una subred separada para el servidor web y solo le permite acceder a ella en el puerto 80 (y quizás 443).

Debe tener en cuenta que esto hace que su enrutador sea un punto único de falla. En un entorno SOHO, este suele ser el caso de todos modos, pero no necesariamente tiene que hacerlo.

Una vez que esto supere la fase "solo para ver cómo va", es posible que desee considerar hospedarlo en AWS u otro proveedor de la nube. Obtienes el mismo nivel de control, una redundancia mucho mejor, una escalabilidad increíble y una gran seguridad por centavos.

    
respondido por el GnP 09.09.2016 - 01:57
fuente

Lea otras preguntas en las etiquetas

Patrón de mejores prácticas para la sincronización de fondo del trabajador de servicio con protección CSRF ¿Puedo restaurar la clave privada de gpg de los datos en bruto al enigmail?